​Emotet 恶意软件现在使用 Microsoft OneNote 电子邮件附件进行分发，旨在绕过 Microsoft 安全限制并感染更多目标。

Emotet 是一个臭名昭著的恶意软件僵尸网络，过去通过包含恶意宏的 Microsoft Word 和 Excel 附件进行分发。

如果用户打开附件并启用宏，将下载并执行一个 DLL，在设备上安装 Emotet 恶意软件。

加载后，恶意软件将窃取电子邮件联系人和电子邮件内容，以用于未来的垃圾邮件活动。

它还将下载提供对公司网络的初始访问的其他有效负载。

此访问权限用于对公司进行网络攻击，其中可能包括勒索软件攻击、数据盗窃、网络间谍活动和勒索。

虽然 Emotet 是过去分布最广的恶意软件之一，但在过去的一年里，它时断时续，最终在 2022 年底前休整。

在三个月不活动后，Emotet 僵尸网络突然重新启动，本月早些时候在全球范围内发送恶意电子邮件。

然而，这个最初的活动存在缺陷，因为它继续使用带有宏的 Word 和 Excel 文档。

由于 Microsoft 现在会自动阻止下载的 Word 和 Excel 文档中的宏，包括附加在电子邮件中的宏，因此该活动只会感染少数人。

本月早些时候使用的恶意 Emotet Word 文档

因此，我们预测 Emotet 将转向 Microsoft OneNote 文件，在 Microsoft 开始阻止宏后，这已成为分发恶意软件的流行方法。

正如预测的那样，在安全研究员首次发现的Emotet 垃圾邮件活动中 ，威胁行为者现在已经开始使用恶意 Microsoft OneNote 附件分发 Emotet 恶意软件。

这些附件分布在模仿指南、操作方法、发票、工作参考等的回复链电子邮件中。

Emotet 垃圾邮件

附加到电子邮件的是 Microsoft OneNote 文档，其中显示一条消息，说明该文档受保护。然后它会提示您双击“查看”按钮以正确显示文档。

恶意 Microsoft OneNote 附件

Microsoft OneNote 允许您创建包含覆盖嵌入式文档的设计元素的文档。

但是，当您双击嵌入文件所在的位置时，即使上面有设计元素，文件也会被启动。

在此 Emotet 恶意软件活动中，威胁参与者在“查看”按钮下方隐藏了一个名为“click.wsf”的恶意 VBScript 文件，如下所示。

微软 OneNote 文档中隐藏的 click.wsf 文件

这个 VBScript 包含一个高度混淆的脚本，它从一个远程的、可能恶意的网站下载一个 DLL，然后执行它。

恶意 click.wsf VBScript 文件

当用户尝试在 OneNote 中启动嵌入式文件时，Microsoft OneNote 会显示警告，但历史告诉我们，许多用户通常单击“确定”按钮来消除警告。

打开 Microsoft OneNote 中嵌入的文件时出现警告 

如果用户单击“确定”按钮，嵌入的 click.wsf VBScript 文件将使用 OneNote 的 Temp 文件夹中的 WScript.exe 执行，每个用户可能会有所不同：

"%Temp%\OneNote\16.0\Exported\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf"

该脚本随后会将 Emotet 恶意软件下载为 DLL [ VirusTotal ]，并将其存储在同一个 Temp 文件夹中。

然后它将使用 regsvr32.exe 启动随机命名的 DLL。

Emotet 现在将在设备上安静地运行，窃取电子邮件、联系人，并等待来自命令和控制服务器的进一步命令。

虽然不知道该活动最终投放了哪些有效载荷，但它通常会导致安装 Cobalt Strike 或其他恶意软件。

这些有效载荷允许与 Emotet 合作的威胁行为者获得对设备的访问权限，并将其用作在网络中进一步传播的跳板。

Microsoft OneNote 已成为一个巨大的恶意软件分发问题，多个恶意软件活动使用这些附件。

因此，微软将在 OneNote 中添加改进的保护措施 以防止网络钓鱼文档，但没有具体的时间表说明何时向所有人开放。

但是，Windows 管理员可以配置组策略来防止恶意 Microsoft OneNote 文件。

管理员可以使用这些组策略来完全阻止 Microsoft OneNote 中的嵌入式文件，或者允许您指定应阻止运行的特定文件扩展名。

Microsoft OneNote 中的所有文件附件都被阻止

强烈建议 Windows 管理员使用这些选项之一，直到 Microsoft 为 OneNote 添加进一步的保护。